Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「PowerDNS Recursor」の「protobuf」処理にサービス拒否の脆弱性

蘭PowerDNS.COMが提供するDNSキャッシュサーバ「PowerDNS Recursor」において、DNSクエリや応答内容を外部サーバに記録する機能にDoS攻撃が可能となる脆弱性が明らかとなった。

外部サーバにDNSメッセージを記録するために用いる「Protocol Buffers」の生成機能に脆弱性「CVE-2022-37428」が明らかとなったもの。

「protobuf」を生成する際のエラー処理に不備があり、細工したリクエストを処理するとサービス拒否を引き起こすおそれがある。

「protobuf」の機能を有効化しており、攻撃者よりアクセスが可能となっている場合に影響があり、重要度は「中(Medium)」とレーティングされている。

同社は、現地時間8月23日に脆弱性を修正した「同4.7.2」「同4.6.3」「同4.5.10」をリリース。アップデートを実施するか、「protobuf」を無効化するなど対策を講じるよう呼びかけている。

脆弱性が判明したことを受けて、日本レジストリサービス(JPRS)からも利用者に対して注意喚起が行われている。

(Security NEXT - 2022/08/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

米CISA、ファイル共有ツールなどの脆弱性3件を悪用リストに追加
海外子会社でランサム被害、情報流出など影響を調査 - 富士電機
「Cisco ASA」のウェブVPNログインページ脆弱性 - 攻撃試行を確認
プロバイダ向け「Veeam Service Provider Console」に深刻な脆弱性
11月は脆弱性22件の悪用に注意を喚起 - 米当局
「Veeam Backup & Replication」に複数脆弱性 - アップデートで修正
NEC製ルータ「UNIVERGE IXシリーズ」に複数の脆弱性
別会員の購入情報が記載されたメールを誤送信 - FC東京
再委託先が異なる案件のメールで個人情報を誤送信 - 静岡県
「FFmpeg」にダブルフリーの脆弱性 - パッチで修正